Sei in
Home > Microsoft & altri mondi > Social Engineering: capiamo cosa è, per difenderci meglio!

Social Engineering: capiamo cosa è, per difenderci meglio!

Questo articolo nasce con il solo scopo di informare, spiegando semplicemente cosa è il social enigineering, tecnica usata da “cani e porci”, da psicologi a pirati informatici. Perchè trattiamo di questo? Perchè molte volte non basta avere sofisticati sistemi di sicurezza ma anche un po’ di furbizia.

Cos’è il social engineering?

Dietro quest’espressione quasi aulica si trova un concetto molto semplice quanto “letale”: fregare il prossimo con la psicologia. Il social engineering è quindi l’insieme di tutte le tecniche psicologiche, usate dagli aggressori online per farci fare quello che vogliono: per esempio, indurci a dare loro i nostri codici di accesso, ad aprire i loro allegati infetti o a visitare un sito che contiene materiale pericoloso. Tutti possiamo essere capaci di usare il Social, basta conosce qualcosina di psicologia e come funziona una mente umana. Il resto viene quasi da sè.

Lo scopo di quest’articolo (molti di voi diranno purtroppo) non è insegnarvi a fregare il prossimo, ma insegnarvi a riconoscere i tentativi di fregarvi online (e a volte anche offline, basta anche una chiamata telefonica). Conoscere le tecniche di social engineering è il modo migliore per non finirne vittima, per la serie: “L’ attacco è la miglior difesa”

A cosa serve il social engineering?

Serve ad arrivare dove non si arriva, e non si puo arrivare con i normali strumenti di intrusione informatica (backdoor, trojan, keylogger ecc). Uno dei principali problemi degli autori di virus, che ambiscono a raggiungere la massima propagazione possibile (è una sorta di gara a chi la fa più lontano), è che molti programmi di ultima generazione posta non sono così stupidi da eseguire automaticamente gli allegati, anche se le vecchie versioni di Outlook e Outlook Express sono notoriamente ingenue in questo senso, e molti utenti adottano le precauzioni elementari costituite da antivirus, firewall e buon senso. AVte sentito nominare molto spesso la parola posta fino ad’ ora perchè il miglior metodo è appunto la posta elettronica, dietro un documento scritto e ben formato possiamo spacciarci per chiunque e fa cascare meglio la vittima al nostro attacco.

Per scavalcare queste precauzioni c’è un modo molto semplice: indurre la vittima a fare ciò che desideriamo, tramite espedienti psicologici (e quindi non informatici), a fidarsi dell’allegato e quindi eseguirlo, fregandosene totalmente della sicurezza. Un altro scopo degli aggressori è indurre l’utente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandi: per esempio, un aggressore può creare un messaggio che induce l’utente a visitare un falso sito Web, costruito in modo da somigliare a uno autentico e affidabile (una banca, PayPal, Microsoft o quello di un provider, ecc), e a immettervi i propri codici d’accesso. La vittima crede di comunicare con la propria banca, in realtà sta comunicando i propri PIN e password al malfattore, con tutte le ovvie conseguenze del caso.

A prescindere dal metodo, si tratta comunque di creare fiducia nella vittima, questo è il primo passo. A quel punto può scattare la trappola, ma senza un buon attacco psicologico iniziale si può ottenere ben poco.

Preconcetti

Non cominciate a dire “io sono troppo colto/intelligente per abboccare”.

Essere vittima del social engineering non è una questione di lauree o di quoziente intellettivo. Ci casca chiunque non conosca le tecniche psicologiche del social engineering. Non fate troppo affidamento sul vostro antivirus, firewall o altro software di difesa, il social engineering è fatto apposta per aggirarli e fregarvi. E’ il rimedio alle tecniche di sicurezza che usate per difendervi. E’ l’ anti-antivirus.

Nel vostro sistema di difesa informatica, siete voi (o i vostri dipendenti o colleghi) l’anello più debole: è inutile avere il più bel sistema di protezione dell’universo, se poi la vostra segretaria ne consegna la password a chiunque le mandi un e-mail spacciandosi per un tecnico Microsoft o simili. E’ come consegnare le chiavi di casa ad un ladro.

Quindi amenochè il vostro computer non sia laureato in psicologia,sia pluriprotetto e voi siete le persone più sveglie e furbe del mondo siete tutti vulnerabili (chi più chi meno) al social engineering.

Per finire vi consigliamo un bel libro scritto da qualcuno che se ne intende parecchio: L’ arte dell’ Inganno.

Social Engineering: capiamo cosa è, per difenderci meglio!, 5.0 out of 5 based on 2 ratings

One thought on “Social Engineering: capiamo cosa è, per difenderci meglio!

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Top